Ny injeniera avy amin'ny Intel dia nanolotra protocole HTTPA vaovao (HTTPS Attestable), manitatra ny HTTPS miaraka amin'ny antoka fanampiny amin'ny fiarovana ny kajy natao. Ny HTTPA dia ahafahanao miantoka ny tsy fivadihana amin'ny fanodinana ny fangatahan'ny mpampiasa amin'ny mpizara ary hahazoana antoka fa azo itokisana ny serivisy tranonkala ary tsy niova ny kaody mandeha ao amin'ny tontolo TEE (Trusted Execution Environment) ao amin'ny server vokatry ny fijirika na sabotage ataon'ny mpitantana.
Ny HTTPS dia miaro ny angona ampitaina mandritra ny fampitana amin'ny tambajotra, saingy tsy afaka manakana ny tsy fivadihany tsy ho voahitsakitsaka vokatry ny fanafihana ny mpizara. Ny enclaves mitoka-monina, noforonina tamin'ny fampiasana teknolojia toy ny Intel SGX (Software Guard Extension), ARM TrustZone ary AMD PSP (Platform Security Processor), dia ahafahana miaro ny informatika saro-pady ary mampihena ny mety hisian'ny leakage na fanovana vaovao saro-pady amin'ny node farany.
Mba hiantohana ny maha-azo itokiana ny vaovao nampitaina, ny HTTPA dia ahafahanao mampiasa ny fitaovana fanamarinana omena ao amin'ny Intel SGX, izay manamarina ny maha-azo itokiana ny enclave izay nanaovana ny kajy. Amin'ny ankapobeny, ny HTTPA dia manitatra ny HTTPS miaraka amin'ny fahafahana manaporofo lavitra ny enclave ary mamela anao hanamarina fa mandeha amin'ny tontolo Intel SGX tena izy ary azo itokisana ny serivisy tranonkala. Ny protocol dia novolavolaina tamin'ny voalohany ho iray manerantany ary, ankoatry ny Intel SGX, dia azo ampiharina amin'ny rafitra TEE hafa.
Ho fanampin'ny dingana mahazatra amin'ny fametrahana fifandraisana azo antoka ho an'ny HTTPS, ny HTTPA dia mitaky fifampiraharahana amin'ny fanalahidin'ny fivoriana azo itokisana. Ny protocol dia mampiditra fomba HTTP vaovao "ATTEST", izay ahafahanao manodina karazana fangatahana sy valiny telo:
- "preflight" hijerena raha manohana ny fanamarinam-pamokarana enclave ny lafiny lavitra;
- "atest" amin'ny fanekena ny mari-pamantarana fanamarinana (mifidy algorithm kriptografika, mifanakalo filaharana kisendrasendra miavaka amin'ny fivoriana, mamorona famantarana session ary mamindra ny fanalahidin'ny daholobe amin'ny mpanjifa);
- "session azo itokisana" - famoronana fanalahidin'ny session ho an'ny fifanakalozana vaovao azo itokisana. Ny fanalahidin'ny fotoam-pivoriana dia miorina amin'ny tsiambaratelo nifanarahana teo aloha momba ny fivoriana mialoha novokarin'ny mpanjifa amin'ny fampiasana ny fanalahidin'ny daholobe TEE azo avy amin'ny mpizara, ary ny filaharana kisendrasendra novokarin'ny antoko tsirairay.
Ny HTTPA dia midika fa azo itokisana ny mpanjifa ary tsy ny mpizara, i.e. ny mpanjifa dia afaka mampiasa ity protocol ity mba hanamarinana ny kajikajy amin'ny tontolo TEE. Mandritra izany fotoana izany, ny HTTPA dia tsy manome antoka fa ny kajy hafa natao nandritra ny fampandehanana ny mpizara tranonkala izay tsy natao tao amin'ny TEE dia tsy voatohintohina, izay mitaky ny fampiasana fomba manokana amin'ny fampandrosoana ny serivisy tranonkala. Noho izany, ny HTTPA dia mikendry indrindra amin'ny fampiasana amin'ny serivisy manokana izay nampitombo ny fepetra takian'ny fampahalalam-baovao, toy ny rafitra ara-bola sy ara-pitsaboana.
Ho an'ny toe-javatra izay tsy maintsy hamafisina ny kajy ao amin'ny TEE ho an'ny mpizara sy ny mpanjifa, dia misy variana amin'ny protocol mHTTPA (Mutual HTTPA), izay manao fanamarinana roa. Sarotra kokoa ity safidy ity noho ny filΓ na fanalahidin'ny session ho an'ny mpizara sy ny mpanjifa.
Source: opennet.ru